Google odrzucił nagrodę za krytyczną lukę w chmurze. „Pracujemy zgodnie z przeznaczeniem”

Sprzeczna odpowiedź Google

Historia odpowiedzi Google to ciąg zapierających dech w piersiach sprzeczności.

Faza 1 — "Nice Catch!" O'Leary zgłosił błąd do Google 8 marca 2026 . 27 marca inżynier ochrony z Google zaakceptował zgłoszenie i napisał mu "Nice Catch!" . Inżynier poinformował, że przekazał błąd odpowiedniemu zespołowi produktowemu i zapewnił O'Leary'ego, że będą współpracować z Google Cloud w celu naprawy usterki, pisząc: „Będziemy współpracować z zespołem produktowym, aby zapewnić rozwiązanie tego problemu. Poinformujemy Cię, gdy problem zostanie naprawiony” . Google nadało błędowi priorytet P1 (najwyższy) i dotkliwość S1 (krytyczny — wpływa na duży odsetek użytkowników i może zakłócić podstawowe funkcje organizacji) .

Faza 2 — „Działa zgodnie z przeznaczeniem.” 7 kwietnia — 11 dni później — O'Leary otrzymał wiadomość od bota ochrony Google odwracającą decyzję . Panel Cloud Vulnerability Reward Program stwierdził, że „wpływ tej kwestii na bezpieczeństwo nie spełnia kryteriów kwalifikujących do nagrody”, a oprogramowanie „działa zgodnie z przeznaczeniem” . Google odmówiło wypłaty nagrody.

Sprzeczność: Według raportu The Register z 18 czerwca, wewnętrzny system śledzenia błędów Google wciąż klasyfikował ConfigConfusion jako P1/S1 ze statusem „w toku (zaakceptowany)” — co jest sprzeczne z publicznym stanowiskiem, że luka nie istnieje .

Nierozwiązany status

Według stanu na połowę czerwca 2026 — ponad trzy miesiące od pierwotnego zgłoszenia — luka wciąż pozostaje niezałatana i nierozwiązana . O'Leary opublikował wpis na blogu z pełnymi szczegółami technicznymi na stronie olearysec.com .

Zmiany w VRP Google w 2026 — szerszy kontekst

Na początku maja 2026 Google gruntownie zmieniło swoje programy nagradzania za błędy (VRP) dla Chrome i Androida, wyraźnie powołując się na wzrost wykorzystania narzędzi AI w odkrywaniu luk .

Kluczowe zmiany:

• Wypłaty za błędy w Chrome spadły w większości kategorii. Google uzasadniło to, że narzędzia AI mogą łatwo generować duże ilości zgłoszeń niższej jakości, więc restrukturyzuje nagrody w kierunku błędów o większym wpływie i trudniejszych do zautomatyzowania .
• Maksymalne wypłaty za błędy w Androidzie wzrosły — za pełny łańcuch exploitów Titan M2 typu zero-click z trwałością można teraz otrzymać do 1,5 miliona dolarów .
• Liczba publikowanych przez Chrome CVE wzrosła czterokrotnie rok do roku (z 52 na początku maja 2025 do 252 na początku maja 2026), co Google przytoczyło jako dowód fali zgłoszeń generowanych przez AI .

Krytycy zwracają uwagę na niezręczny kontrast: Google obniża wypłaty za błędy w Chrome z powodu „szumu AI”, jednocześnie odmawiając nagrody ludzkiemu badaczowi za starannie zgłoszony, krytyczny błąd w infrastrukturze chmurowej o ocenie CVSS 10.0, uznając go za „działający zgodnie z przeznaczeniem” — decyzję, którą wielu w społeczności bezpieczeństwa uznało za krótkowzroczną i szkodliwą dla zaufania badaczy .